通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Containers 部署概述

Microsoft Defender for Containers 为跨多个平台的容器化环境提供高级威胁防护和安全功能。 本指南可帮助你为 Kubernetes 环境选择正确的部署路径。

支持的环境

Defender for Containers 支持以下 Kubernetes 环境:

  • Azure (AKS) - Azure Kubernetes 服务
  • AWS (EKS) - Amazon Elastic Kubernetes 服务
  • GCP (GKE) - Google Kubernetes 引擎
  • 已启用 Arc 的 Kubernetes (预览版) - 本地和 IaaS Kubernetes 群集

选择部署路径

选择与 Kubernetes 环境匹配的部署指南:

Azure (AKS)

对于 Azure Kubernetes 服务群集,Defender for Containers 提供:

  • 与 Azure 服务的原生集成
  • 在订阅中的所有群集上自动部署
  • 不需要跨云连接器
  • 漏洞评估 (VA) 功能,包括针对 Azure 容器注册表的注册表扫描
  • 安全状况管理功能,包括容器化软件供应链保护
  • 运行时保护功能(包括检测调查和响应)集成到 Microsoft XDR 中
  • 容器软件供应链保护功能,包括容器映像的封闭部署

AWS (EKS)

对于 Amazon Elastic Kubernetes 服务群集,Defender for Containers 提供:

  • Defender for Cloud 中的集中式安全管理
  • 基于 AWS 连接器的部署,包括 CloudFormation 模板支持
  • 漏洞评估 (VA) 功能,包括针对弹性容器注册表 (ECR) 的注册表扫描
  • 安全态势管理功能
  • 运行时保护功能(包括检测调查和响应)集成到 Microsoft XDR 中
  • 容器软件供应链保护功能,包括容器映像的封闭部署

GCP (GKE)

对于 Google Kubernetes 引擎群集,Defender for Containers 提供:

  • Defender for Cloud 中的集中式安全管理
  • 基于 GCP 连接器的部署
  • GKE Autopilot 支持
  • 漏洞评估 (VA) 功能,包括针对 Google 容器注册表 (GCR) 和 Google Artifact 注册表 (GAR) 的注册表扫描
  • 安全态势管理功能
  • 运行时保护功能(包括检测调查和响应)集成到 Microsoft XDR 中
  • 容器软件供应链保护功能,包括容器映像的封闭部署

已启用 Arc 的 Kubernetes (预览版)

对于通过 Azure Arc 连接的本地和 IaaS Kubernetes 群集,Defender for Containers 提供:

  • 混合云安全管理
  • 通过 Azure 实现安全性集中
  • 适配于经过 CNCF 认证的 Kubernetes 发行版
  • 容器软件供应链保护功能,包括容器映像的封闭部署

先决条件

在部署 Defender for Containers 之前,请确保具备:

  • 有效的 Azure 订阅
  • 订阅中的所有者或贡献者角色
  • Kubernetes 群集版本 1.19 或更高版本
  • 与 Azure 服务的网络连接
  • 针对传感器驱动的功能:确保Defender组件拥有足够的群集资源 - 请参阅Defender传感器组件详细信息

注释

无代理功能不需要群集资源或传感器部署。 有关受支持功能的详细列表及其可用性和特征,请参阅 Defender for Containers 的支持矩阵。 支持矩阵指示每个功能在 Enablement 方法 列下是无代理的还是基于传感器的。

启用和部署选项

Defender for Containers 涉及两个主要步骤:

  1. 启用计划 - 可以通过以下方式启用计划:

    • Azure 门户
    • 以编程方式 (Azure CLI、REST API、PowerShell)

  2. 部署传感器

    • AKS 内置的插件 - 可以通过以下方式部署:
      • Azure 门户
      • 编程方式 (Azure CLI、REST API、IaC 模板)
    • Helm 图表部署

查看当前覆盖范围

Defender for Cloud 通过 Azure 工作簿提供对工作簿的访问权限。 工作簿是可自定义的报表,可提供对安全状况的见解。

覆盖率工作簿通过显示哪些计划在订阅和资源上启用,帮助你了解当前的覆盖范围。

后续步骤

选择您的环境以开始:

有关跨环境的功能比较,请参阅 Defender for Containers 的支持矩阵

  • Last updated on